France Travail dit avoir été victime d’une cyberattaque s’étant déroulée entre le 6 février et le 5 mars. Elle a conduit à « l’exfiltration de données personnelles ». C’est bien l’intégralité de la base qui pourrait avoir été concernée, puisque l’agence évoque « potentiellement » 43 millions de personnes concernées.
« Suite à une cyberattaque dont nous avons été victimes avec Cap emploi, des informations personnelles vous concernant sont susceptibles d’être divulguées. Vos informations bancaires ne sont pas concernées. Nous sommes désolés de cet incident et nous vous invitons à rester vigilants », prévient le site officiel dans un encadré rouge. « Il n’existe donc aucun risque pour l’indemnisation », s’empresse de préciser France Travail dans son communiqué.
« Potentiellement » 43 millions de personnes
Pourraient être concernées toutes les personnes « inscrites au cours des 20 dernières années ainsi que les personnes non inscrites sur la liste des demandeurs d'emploi mais ayant un espace candidat sur francetravail.fr ». En d’autres termes, c’est l’intégralité de la base qui pourrait avoir été exposée. « C'est donc potentiellement les données personnelles de 43 millions de personnes qui ont été exfiltrées », ajoute France Travail.
Nom, prénom, numéro de Sécurité sociale, date de naissance, identifiant France Travail, adresses mail et postales et numéros de téléphone ont été exposés et se retrouvent donc dans la nature. Les mots de passe et les coordonnées bancaires ne sont pas concernés.
France Travail dit avoir notifié la CNIL et porte plainte auprès des autorités judiciaires. La section J3 du Parquet de Paris a ouvert une enquête préliminaire. Elle a été confiée à la Brigade de Lutte Contre la Cybercriminalité (BL2C) de la Direction de la Police Judiciaire de Paris. Celle-ci a d’ailleurs mis en ligne un formulaire simplifié permettant aux personnes concernées de déposer plainte.
Quels risques ?
Les risques sont malheureusement les mêmes qu’habituellement dans ce genre de cas. Les coordonnées peuvent entrainer des campagnes de phishing plus ou moins précises.
« Cybermalveillance.gouv.fr recommande d’être particulièrement vigilant face à tout appel téléphonique ou message (mail, SMS) qui pourrait utiliser vos données personnelles compromises dans le but de vous rendre crédible une tentative d’escroquerie ou d’hameçonnage ciblée », peut-on lire sur une page dédiée de Cybermalveillance.fr.
À l’AFP, France Travail dit avoir remarqué initialement des « requêtes suspectes » et une « usurpation d'identité de conseillers Cap emploi », souligne Le Figaro. Attention donc à ce deuxième point. Un dispositif téléphonique va être mis en place via la plateforme téléphonique 3949 « dans les prochaines heures ».
Par l’ampleur et le type d’information, cette cyberattaque rappelle malheureusement les récentes – et énormes, avec la moitié des français concernés – fuites chez Viamedis et Almerys, prestataires du tiers payant. Le numéro de Sécurité sociale étant une nouvelle fois concerné, il est recommandé une prudence particulière, car il peut servir de porte d’entrée dans de nombreux services.
Comme nous l’indiquions le mois dernier, il peut permettre la création d’un compte Ameli pour une personne qui ne l’aurait pas déjà. Là aussi, le Parquet a ouvert une enquête et un formulaire pour déposer simplement une plainte a été mis en ligne.
Semaine chargée pour l’État : une attaque DDoS il y a quelques jours
Nous ne sommes que mercredi et l’actualité est déjà bien chargée. En début de semaine, le groupe de pirates Anonymous Sudan faisait parler de lui, suite à une attaque DDoS contre des institutions françaises.
Ce groupe n’est pas nouveau, l’ANSSI en parlait dans son panorama de la cybermenace 2023. L’Agence expliquait que, en août 2023, il avait « menacé la France de représailles en cas d’intervention contre le putsch au Niger, avant de réorienter son ciblage contre des entités israéliennes suite à l’offensive militaire dans la bande de Gaza ». La société spécialisée dans la cybersécurité Sekoia y va aussi de son analyse, précisant qu’il s’agit d’un « sous-groupe des hacktivistes pro-russes Killnet ».
En début de semaine, les pirates revendiquaient ainsi une cyberattaque contre plusieurs services de l’État. Elle était décrite comme d’une « intensité inédite », selon le gouvernement cité par l’AFP. Les autorités ajoutaient que l’impact « a été réduit » et l’accès aux sites « rétabli ». De quoi se vanter d’une victoire ? Oui, mais…
Une « tempête dans un verre d’eau » ?
Si une cyberattaque a bien eu lieu, son intensité n’était visiblement pas si importante et les conséquences plutôt limitées. Pour Le MagIT, il s’agit plutôt d’une « tempête dans un verre d’eau ». Nos confrères rappellent que les cyberattaques de type DDoS sont monnaie courante. « Mais entre contexte géopolitique et politique domestique, si Matignon a choisi de communiquer sur cet incident, c’est que les services du Premier ministre y trouvaient leur intérêt ».
Même son de cloche chez Gabriel Thierry, spécialiste du cybercrime : « Drôle de communication de Matignon qui a dramatisé une grosse mais banale campagne de DDoS sous l'appellation de cyberattaques d’une "intensité inédite" ».
« On notera également que s'attaquer au RIE (Réseau interministériel de l'État) est particulièrement stupide, sauf s'il s'agit uniquement de faire le buzz. En effet, si vous vous attaquez au point le plus protégé de votre adversaire, ne vous étonnez pas de tomber sur un mur », ajoute-t-il. Bref, « beaucoup de bruit pour rien » comme dirait William Shakespeare.
Commentaires (66)
#1
Vraiment des incompétents...
Y'en a vraiment marre de toutes ces fuites via les services de l'État.
#1.1
Avec toujours moins de budget, ce genre de cas sera toujours plus fréquent à l'avenir. Mais à la limite, ce n'est pas tellement les fuites de données qui me paraissent le plus grave dans tout ça 😒
#1.3
Sécuriser une base de données, ce n'est pas forcément très compliqué, mais ça nécessite quand-même un minimum de compétences et peut-être d'expérience. Quand on copine avec des grosses boîtes de conseil qui facturent très cher les prestations des juniors sortis d'école payés au lance-pierre, forcément, à un moment, ça se voit...
Chiffres : +5% de fonctionnaires sur les 3 fonctions publiques de 2011 à 2021, dans le même temps la population a augmenté de 4% - chiffres fournis par le service public et par l'INSEE.
#1.5
La part de la fonction publique dans l'emploi total a diminué sur la période que tu cite. Comparer le nombre de fonctionnaires à la population totale n'a pas de sens, surtout avec une population vieillissante et un ratio actifs/non-actifs qui diminue.
Mais surtout, la fonction publique ne se limite absolument pas au nombre de fonctionnaires. Tu peux embaucher autant d'infirmières que tu veux, si ton nombre de lits diminue, ça ne sert à rien ...
Le PLFSS (qui englobe d'assurance chômage donc) de 2024 est passé avec un 49.3. Sécuriser une base de données c'est une chose, croire qu'on arrivera à maintenir un bon niveau de sécurité ad vitam eternam avec des budgets en baisse constante, c'est sacrément « bisounours » comme ils disent ...
#1.6
Tout ça pour dire : tu soulèves un vrai point, il y a d'énormes problèmes d'organisation dans la fonction publique (je t'épargne les comparaisons internationales, la France n'est pas fondamentalement bien placée sur ces points), mais je pense qu'il n'a rien à voir avec le sujet ici
#1.2
#1.4
Pour le coup si Bercy ne communique pas ça sera joli.
#1.7
Là ils l'ont vu (et assez tard, vu la durée).
Mais pleins d'autres ont été piratés et n'ont rien vu/dit (j'ai un GROS doute sur une banque dernièrement: ils ont invalidé mon mot de passe - à la connexion ils m'ont renvoyé une procédure par la poste - en attendant, j'ai reçu du phishing SYNCHRONISE avec cette demande de connexion, sachant que je vais sur le site moins d'une fois par an).
#2
Qu'ils commencent par avoir une vraie sécurité dans leurs ministères ou leurs administrations avant de taper sur les petites gens pour des broutilles.
#2.1
L'état n'ai pour ainsi dire quasiment aucune compétence en interne.
#2.2
#2.4
Et de l'autre coté, les privés se gavent bien comme il faut, en rendant un travail en deçà des attentes.
Rajoute à cela que dans le monde de la sécurité informatique, les profils compétents sont disputés sur le marché du travail. Même si les salaires sont parfois intéressants dans le secteur public, aujourd'hui il est tout de même complexe de rivaliser avec les packages privés. Pas de mutuelle, pas d'avantages en nature type comité d'entreprise, pas d’intéressement/participation/... (logique), pas de voiture de fonction (je l'ai vu même dans des petites structures, ça!), télétravail qui peine à être accepté/mis en place, etc...
#2.3
Pour les fonctionnaires sous-payés: ils sont sous-payés à paris, les ministères n'ont qu'à délocaliser en province où le salaire d'un fonctionnaire est plus acceptable.
#2.5
#3
...
Et à l'arrivée les usagers sont encore victimes et impuissants face à l'incompétence des services publics/prestas liés aux services publics...
#4
#4.1
#4.2
#4.3
Merci qui ?
#4.6
Je ne connais pas encore tous les nouveau ministres....
#4.8
#4.5
Pour mon adresse postale elle change bientôt mais pour nom prénom n° de sécu ça va être compliqué j'suis pas trop d'humeur a changer de genre 😅
#4.7
#4.4
#5
"Le "cybersécurité" ? C'est quoi ? Vous voulez pas plutôt prendre cette offre raisonnable en usine à mi temps CDD deux semaines ?"
#6
Est-il conseillé de porter plainte ? C'est uniquement préventif, dans le cas où quelqu'un utiliserait nos données ? Ou bien il y a un réel intérêt immédiat ?
#6.1
Historique des modifications :
Posté le 13/03/2024 à 20h34
Je me suis posé la même question. Sur quoi pourrait bien déboucher une plainte ?
#6.2
Cela ressemble surtout à un exutoire enregistrant les résultats dans /dev/null (où l'on retrouve aussi les doléances du grand débat et des agriculteurs).
Plus sérieusement, cela va encore être de belles paroles pour un résultat aussi convaincant que le grand débat.
Le principe du punchingball appliqué à l'administration. Manque plus que le N° Vert.
#6.3
#6.4
Je n'en attends absolument rien, mais je tiens à avoir une trace officielle en cas d'usurpation d'identité, qui est l'un des risques associé à cette fuite de données.
Pour connaître une personne passée au bord de la folie après avoir été victime d'une usurpation, je ne souhaite à personne de se retrouver dans cette situation !
#7
#7.1
J'ai du mal à voir quel fichier plus gros peut fuiter.
#7.2
#7.3
#8
Par contre une durée de ce type n'est pas conforme au RGPD article 25 qui dispose que :
Il faut adapter la durée à chaque traitement et à chaque donnée en minimisant les risques.
Que l'on conserve longtemps certaines données, je le conçois, par exemple pour vérifier les droits à le retraite et ces données là doivent même être conservées plus que 20 ans si nécessaire (jusqu'au départ à la retraite).
Mais moi qui ne suis plus demandeur d'emploi depuis septembre 2017 et retraité depuis plus d'un an, il n'y a aucune raison de garder mes données accessibles à tous. Que ça soit accessible en cas de besoin sur désarchivage, pourquoi pas, mais que ça reste en ligne est en contradiction forte avec le RGPD qui a été publié fin avril 2016.
J'attends la confirmation par mail que mes données sont potentiellement concernées avant de leur demander des comptes puis de porter plainte à la CNIL pour non respect de cet article du RGPD.
En regardant à quoi correspond Cap Emploi (pour les personnes en situation de handicap), si l'information du Figaro est bonne et que la fuite vient bien d'une usurpation d'identité de conseillers Cap emploi, seuls les demandeurs d'emploi handicapés auraient dû être concernés par la fuite. Ils n'ont aucune raison d'accéder aux données des autres demandeurs d'emploi. C'est une autre violation probable du RGPD.
#8.1
#8.2
Même plus que ça, ils n'auraient dû avoir accès à aucun autre dossier que ceux dont ils s'occupent individuellement.
Un peu comme les médecins (est-ce encore le cas aujourd'hui ?) qui ont accès aux dossiers de tous les patients de France. Pendant la pandémie certains s'amusaient à regarder l'état de vaccination de Macron. Ce genre de problème de sécurité ce n'est pas vraiment une question de manque de personnel (sauf peut-être dans certains services spécifiques), c'est plutôt une question de culture de la sécurité, mais il est difficile d'en dire plus sans plus d'information.
S'il s'avère que n'importe quel conseiller Cap Emploi ou FT a accès à tous les dossiers, c'est de l'incompétence pure et simple et rajouter plus de monde n'aurait strictement rien changé.
Historique des modifications :
Posté le 14/03/2024 à 05h16
Même plus que ça, ils n'auraient dû avoir accès à aucun autre dossier que ceux dont ils s'occupent.
Un peu comme les médecins (est-ce encore le cas aujourd'hui ?) qui ont accès aux dossiers de tous les patients de France. Pendant la pandémie certains s'amusaient à regarder l'état de vaccination de Macron. Ce genre de problème de sécurité ce n'est pas vraiment une question de manque de personnel (sauf peut-être dans certains services spécifiques), c'est plutôt une question de culture de la sécurité, mais il est difficile d'en dire plus sans plus d'information.
S'il s'avère que n'importe quel conseiller Cap Emploi ou FT a accès à tous les dossiers, c'est de l'incompétence pure et simple et rajouter plus de monde n'aurait strictement rien changé.
Posté le 14/03/2024 à 05h18
Même plus que ça, ils n'auraient dû avoir accès à aucun autre dossier que ceux dont ils s'occupent.
Un peu comme les médecins (est-ce encore le cas aujourd'hui ?) qui ont accès aux dossiers de tous les patients de France. Pendant la pandémie certains s'amusaient à regarder l'état de vaccination de Macron. Ce genre de problème de sécurité ce n'est pas vraiment une question de manque de personnel (sauf peut-être dans certains services spécifiques), c'est plutôt une question de culture de la sécurité, mais il est difficile d'en dire plus sans plus d'information.
S'il s'avère que n'importe quel conseiller Cap Emploi ou FT a accès à tous les dossiers, c'est de l'incompétence pure et simple et rajouter plus de monde n'aurait strictement rien changé.
Posté le 14/03/2024 à 05h18
Même plus que ça, ils n'auraient dû avoir accès à aucun autre dossier que ceux dont ils s'occupent.
Un peu comme les médecins (est-ce encore le cas aujourd'hui ?) qui ont accès aux dossiers de tous les patients de France. Pendant la pandémie certains s'amusaient à regarder l'état de vaccination de Macron. Ce genre de problème de sécurité ce n'est pas vraiment une question de manque de personnel (sauf peut-être dans certains services spécifiques), c'est plutôt une question de culture de la sécurité, mais il est difficile d'en dire plus sans plus d'information.
S'il s'avère que n'importe quel conseiller Cap Emploi ou FT a accès à tous les dossiers, c'est de l'incompétence pure et simple et rajouter plus de monde n'aurait strictement rien changé.
#8.10
Sauf, que potentiellement tous professionnels de santé peut-être amené à soigner quelqu'un.
Alors que pour pôle-emplois une archivage externalisé des données anciennes pourrait-être pertinent (avec accessibilité sur requête).
#8.3
#8.4
#8.5
#8.6
Ça ne rime à rien :
Pour une utilisation de type connexion à un portail, c'est trop long.
Pour une utilisation type retraite, c'est trop court.
Et pour les utilisations type stats et pilotage, l'anonymisation existe.
On dirait un truc fixé au doigt mouillé.
Même conserver des coordonnées vieilles de 20 ans ça ne rime à rien.
Je suis sur que l'on y trouve encore des adresses en caramail.fr
Historique des modifications :
Posté le 14/03/2024 à 16h03
Du coup, on revient sur la durée de 20 ans, fixée ici : https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000032625875/2016-06-04 pour les finalités décrite ici https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000032625868 et https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000032625813/2016-06-04
Ça ne rime à rien :
Pour une utilisation de type connexion à un portail, c'est trop long.
Pour une utilisation type retraite, c'est trop court.
On dirait un truc fixé au doigt mouillé.
Même conserver des coordonnées vieilles de 20 ans ça ne rime à rien.
Je suis sur que l'on y trouve encore des adresses en caramail.fr
#8.7
Si je suis concerné, je suis très curieux de savoir comment Ils vont me prévenir.
Effectivement, ça ne rime à rien.
Mais est-ce que ça surprend quelqu'un?
#8.8
C'est plus compliqué que ça. Le RGPD ne vient pas remplacer la réglementation, elle vient en plus de la réglementation. Le RGPD impose juste de définir une durée de conservation (ou au moins le moyen de la déterminer) qui soit en corrélation à la réalisation du traitement, avec des exceptions pour à des fins archivistiques dans l'intérêt publique, la recherche publique, etc.
Si une durée est fixée par la réglementation, le responsable de traitement se doit de respecter cette durée (et la CNIL le rappelle sur son site), qu'importe si la durée semble disproportionnée.
Ici, la durée est fixée par le législateur. Le problème est donc au niveau du législateur, pas au niveau du responsable de traitement.
#8.9
Le législateurl'exécutif (c'est un décret) a décidé d'une durée maximum de conservation. Il a mis une borne supérieure. Je maintiens qu'il y a possibilité de diminuer la durée de conservation en fonction du besoin réel. Encore faut-il se poser la question ce qui n'a pas dû être fait : le décret est paru un peu plus d'un mois après la publication du RGPD et personne n'a probablement pensé une fois le RGPD maîtrisé à vérifier que les traitements et les durées de rétention étaient minimisés.Historique des modifications :
Posté le 15/03/2024 à 00h47
Le législateurl'exécutif (c'est un décret) a décidé d'une durée maximum de conservation. Il amis une borne supérieure. Je maintiens qu'il y a possibilité de diminuer la durée de conservation en fonction du besoin réel. Encore faut-il se poser la question ce qui n'a pas dû être fait : le décret est paru un peu plus d'un mois après la publication du RGPD et personne n'a probablement pensé une fois le RGPD maîtrisé à vérifier que les traitements et les durées de rétention étaient minimisés.#8.11
Autant je suis d'accord avec ton interprétation sur le fait que la question de la durée de la conservation aurait du se poser. Toutefois, je ne suis pas certains pour autant que cela soit opposable dans le cadre d'une procédure de sanction, la réglementation définissant explicitement une durée (même si elle n'est que maximum) car derrière un pas plus de 20 ans, se cache implicitement une "autorisation" de les conserver jusqu'à 20 ans...
Et après, il ne faut pas se leurrer non plus. Même en cas de sanction de la CNIL, cela reste un établissement public. Donc une sanction pécuniaire prononcé par la CNIL... revient à l'Etat !
#8.12
Il en existe une autre, par ailleurs érigée au rang d'objectif de valeur constitutionnelle (cf. décision n°2019-789-DC, cons. 7), à savoir la lutte contre la fraude.
Pour laquelle le délai pour engager une action est de 10 ans. (article L.5422-5 du code du travail)
Avec possibilité de remonter sur les 20 dernières années, en application de l'article 2232 du code civil
Illustration ici dans un domaine proche, celui des prestations vieillesse / invalidité, qui a donné lieu à un arrêt de la Cour de Cassation l'année dernière.
En clair autant on peut questionner les modalités de conservation, autant partir bille en tête sur une durée excessive de conservation s'agissant ici d'une finalité érigée en objectif de valeur constitutionnelle, c'est moins évident.
#8.13
Et cela n'empêche pas de porter plainte devant les tribunaux pour mettre France Travail face à ses responsabilités vis-à-vis des demandeurs d'emploi. Il doit être possible de demander des dommages et intérêts en prouvant le dommage.
Sur la durée, le RGPD étant plus important dans la hiérarchie des normes qu'un décret parce qu'il est un texte résultant d'un traité, il n'y a aucune raison de considérer un maximum prévu dans le décret comme une durée qui permettrait de ne pas respecter le RGPD qui dit explicitement qu'il faut minimiser la durée de conservation choisie doit être nécessaire au traitement.
Et, il n'y a pas que la durée comme problème ici, il y a a priori le fait que l'accès aux données était trop large (la fuite semblant être causée par un compte de Cap Emploi). Le RGPD est aussi explicite là-dessus.
#8.14
Alors oui, on est d'accord que le RGPD est plus important dans la hiérarchie des normes. Maintenant, le RGPD ne dit pas qu'il faut minimiser la durée de conservation. Le RGPD impose d'en définir une (soit directement, soit en pouvant la calculer) et ne va pas plus loin. Le reste, ce sont des dispositions réglementaires, légales, les délibérations de la CNIL, etc. qui permettent de donner une durée (mais pas le RGPD).
En l'absence de toute référence, c'est au RT de définir la durée de conservation. Mais si le RGPD n'impose pas de durée, il ne faut pas qu'elle soit disproportionnée vis-à-vis du traitement. Ce qui est hautement subjectif et largement soumis à interprétation. Et quand on a un texte (comme ici) donnant une limite maximum (20 ans), il me parait difficile de dire avec une certitude absolue que c'est disproportionnée, puisqu'un cadre réglementaire donne une échelle de temps.
Quant au caractère "supérieur" du RGPD, c'est toujours compliqué. Il suffit de regarder l'exemple de la conservation des logs de connexion. L'Europe et la France n'ont pas du tout la même interprétation, mettant dans une position largement inconfortable les entreprises qui pourront, quoi qu'elles fassent, se faire attaquer soit devant la justice française, soit la justice européenne (avec les frais et l'énergie que cela demande, bien évidement).
Et si le RGPD imposait vraiment la minimisation de la durée de conservation, alors je pourrais dès aujourd'hui supprimer toutes les données relatives à mes ex-employés (je n'ai plus de traitement en cours avec eux, le solde de tout compte étant fait depuis belle lurette). Pourtant, si je le fais, je risque de me prendre une amende plutôt salée.
Par contre, sur l'accessibilité des données, oui, il semblerait dans le cas présent qu'elle soit beaucoup trop large (si les données ont bien été récupérées via Cap Emploi). Et là, oui, tu as raison de le souligner, le RGPD est explicite.
#9
Qu'est ce qui a merdé? l'infra? le logiciel? la configuration? le suivi des mises à jour sécurité? ...
#9.1
#9.2
#9.3
#9.4
Il devrait y avoir un moyen "universel" de venir déclarer des soucis/trou de sécurité trouvé pour les sites web autre qu'écrire au webmestre
Mais j'ai un doute sur le but de la manœuvre.
Historique des modifications :
Posté le 14/03/2024 à 05h28
Je comprendrais jamais ce besoin de venir montrer en place publique ce genre de choses. Après y'a certainement aucun moyen d'aller déclarer ce genre de soucis facilement aussi, et d'être pris au sérieux.
Il devrait y avoir un moyen "universel" de venir déclarer des soucis/trou de sécurité trouvé pour les sites web autre qu'écrire au webmestre
Mais j'ai un doute sur le but de la manœuvre.
#9.5
#9.6
Le CM est-il assez concerné et capable de prendre au sérieux cette capture ? D'y comprendre quelque chose ?
Si le but est réellement de prévenir et d'aider? Personnellement j'en doute.
Si le but est de se faire mousser et de faire le spectacle ? Je me pose la question.
#10
Ah faudrait peut être mettre à jour ce smilie.
#10.1
#11
#12
Ils n'ont jamais entendu parler du RGPD ?
#12.1
Historique des modifications :
Posté le 14/03/2024 à 13h24
Mais oui, elle est hallucinante cette durée de conservation au regard de la loi.
#13
Des bisous
#14
Je VEUX qu’il y ait des répercussions et dédommagements, pas le simple « oups déso ! » habituel.
#14.1
#15
43 millions de comptes, en partant du postulat qu'une personne ne dispose que d'un seul compte, n'est-ce pas juste la quasi-intégralité des personnes en âge d'y avoir un compte ?
#15.1
Ne pas oublier non plus que les fonctionnaires ne sont que par exception au chômage et donc à Pôle Emploi/France travail. On peut donc enlever 5,6 millions environ.
53-4-5,6 =43,4 c'est quasiment un strike !